Tìm Hiểu Về NAC Network Access Control Toàn Tập - Tài Liệu Text

Có thể bạn quan tâm

Tải bản đầy đủ (.docx) (56 trang)

Trang chủ

Luận Văn - Báo Cáo

Công nghệ thông tin

Tìm hiểu về NAC Network Access Control toàn tập

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.1 KB, 56 trang )

MỤC LỤCĐề mụcTrangTrang bìa.....................................................................................................................................................iNhiệm vụ luận văn.......................................................................................................................................Lời cảm ơn.................................................................................................................................................iiTóm tắt luận văn.......................................................................................................................................iiiMục lục.....................................................................................................................................................ivDanh sách hình vẽ....................................................................................................................................viiDanh mục từ viết tắt.................................................................................................................................ixNội dung luận vănPHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG.......................................................................................1PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)........................................3CHƯƠNG 1: TỔNG QUAN VỀ NAC.............................................................................................31.1.Khái niệm NAC và nhiệm vụ của NAC............................................................................31.1.1.Tính toàn vẹn của thiết bị đầu cuối............................................................................31.1.2.Chính sách..................................................................................................................31.1.3.Kiểm tra đánh giá.......................................................................................................31.1.4.Mở rộng đánh giá kiểm tra.........................................................................................41.1.5.Kiểm tra trước hay sau khi cho phép..........................................................................41.2.Lý do cần triển khai Network Access Control (NAC).......................................................4CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC..........................................................................62.1.Các loại giải pháp NAC.....................................................................................................62.1.1.Dựa trên thiết bị (Appliance-based)...........................................................................62.1.2.Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based).............82.1.3.Dựa trên máy chủ/máy khách (Client or host-based).................................................82.1.4.Giải pháp Clientless....................................................................................................92.1.5.NAC Layer 2............................................................................................................102.1.6.NAC Layer 3............................................................................................................11CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC...............................................................133.1.Bước xác định (Assess)...................................................................................................1423.1.1.Nhận dạng máy và người sử dụng............................................................................143.1.2.Tình trạng bảo mật của máy.....................................................................................153.2.Bước đánh giá (evaluate).................................................................................................153.3.Bước khắc phục lỗi (Remediation)..................................................................................163.4.Bước thực thi (enforce)....................................................................................................183.5.Bước giám sát (Monitor).................................................................................................19CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC...........................................214.1.Những chính sách cần thiết..............................................................................................214.1.1.Chính sách quyền sử dụng hợp lý............................................................................214.1.2.Chính sách chống Virus............................................................................................224.1.3.Chính sách sao lưu dữ liệu.......................................................................................224.1.4.Chính sách sử dụng E-mail.......................................................................................224.1.5.Chính sách Extranet..................................................................................................234.1.6.Chính sách sử dụng thiết bị di động.........................................................................234.1.7.Chính sách Network Access Control........................................................................234.1.8.Chính sách mật khẩu................................................................................................244.1.9.Chính sách bảo mật vật lý........................................................................................244.1.10. Chính sách truy cập từ xa.........................................................................................254.2.Thực thi các chính sách...................................................................................................254.2.1.Tính hợp lý...............................................................................................................254.2.2.Khả năng thực thi.....................................................................................................264.2.3.Ngân sách cho chính sách mới.................................................................................274.2.4.Đào tạo hàng loạt......................................................................................................284.3.Vòng đời của một chính sách bảo mật.............................................................................294.4.Các tiêu chuẩn và tài nguyên Web...................................................................................294.5.Viết chính sách bảo mật cho riêng công ty......................................................................30CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC................................345.1.Tìm hiểu về NAC.............................................................................................................345.2.Tạo mới (hoặc sửa đổi) chính sách bảo mật của doanh nghiệp.......................................345.4.Tìm hiếm yêu cầu đề xuất và thông tin nhà cung cấp......................................................3535.5.Thử nghiệm......................................................................................................................355.6.Triển khai thí điểm...........................................................................................................355.7.Triển khai thử trên một khu vực giới hạn........................................................................365.8.Triển khai toàn bộ và đánh giá chính sách.......................................................................365.9.Triển khai toàn bộ cùng với việc thực thi chính sách......................................................375.10.Xác định và đánh giá lại thường xuyên........................................................................37CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC.............................................................386.1.Cisco Network Admission Control (Cisco NAC)............................................................386.2.Microsoft Network Access Protection (NAP).................................................................406.3.Trusted Network Connect (TNC)....................................................................................42PHẦN II : ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL......................46CHƯƠNG 7: TỔNG QUAN VỀ FREENAC................................................................................467.1. VLAN Management Policy Server (VMPS).......................................................................467.2.Các tính năng của FreeNAC............................................................................................487.2.1.Quản lý truy cập theo nhóm người dùng..................................................................487.2.2.Phản ứng của hệ thống khi có thiết bị lạ..................................................................497.2.3.Cập nhật được hiện trạng của workstation và các switch.........................................497.2.4. Ưu điểm khi sử dụng FreeNAC....................................................................................497.2.5.7.3.Các hạn chế của FreeNAC.......................................................................................50Mô hình, nguyên tắc hoạt động.......................................................................................51CHƯƠNG 8 : MÔ HÌNH VÀ THỰC NGHIỆM..........................................................................538.1. Mô hình xây dựng................................................................................................................538.2.Cài đặt..............................................................................................................................538.2.1.Cài đặt FreeNAC......................................................................................................538.2.2.Cấu hình trên Switch................................................................................................568.3.1.Cài đặt GUI cấu hình trên máy chạy Window..........................................................578.3.Kiểm tra hoạt động của FreeNAC...................................................................................58KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN......................................................................................61TÀI LIỆU THAM KHẢO...............................................................................................................624DANH SÁCH HÌNH VẼPHẦN ICHƯƠNG 2Hình 2.1: Mô hình Inline..............................................................................................6Hình 2.2: Mô hình Out-of-band....................................................................................7Hình 2.3: Client/host-based..........................................................................................9Hình 2.4: NAC Layer 2................................................................................................10Hình 2.5: NAC Layer 3................................................................................................11CHƯƠNG 3Hình 3.1: Các bước cơ bản để triển khai NAC.............................................................13Hình 3.2: Bước xác định...............................................................................................14Hình 3.3: Bước đánh giá...............................................................................................16Hình 3.4: Bước khắc phục lỗi.......................................................................................17Hình 3.5: Bước thực thi................................................................................................18Hình 3.6: Bước giám sát...............................................................................................19CHƯƠNG 6Hình 6.1: Mô hình kết nối cơ bản của Cisco NAC.......................................................38Hình 6.2: Mô hình tổng quát của hệ thống Microsoft NAP.........................................40Hình 6.3: Hạ tầng của TNC..........................................................................................44Hình 6.4: Hoạt động của TNC......................................................................................44PHẦN IICHƯƠNG 7Hình 7.1: Hoạt động của VMPS...................................................................................47Hình 7.2: Các thiết bị switch hỗ trợ VMPS..................................................................48Hình 7.3: Mô hình hoạt động của NAC........................................................................51CHƯƠNG 8Hình 8.1: Mô hình thực nghiệm...................................................................................53Hình 8.2: Chỉnh sửa file vmps.xml...............................................................................58Hình 8.3: Trạng thái các port trên Switch.....................................................................59Hình 8.4: Cấu hình VLAN trên VMPS Server ............................................................595Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định ................................................606DANH MỤC TỪ VIẾT TẮTAACSARAccess Control ServerAccess RequestCCRMCTACustomer Relationship ManagementCisco Trust AgentDDHCPDynamic Host Configuration ProtocolEEAPExtensible authentication ProtocolGGUIGraphical User InterfaceHHRAHealth Registration AuthorityIIECIEEEIF-IMVIMCIMVIPIPSecIPv4ISOITInternational Electrotechnical CommissionInstitute of Electrical and ElectronicsEngineersIntegrity Measurement CollectorsIntegrity Measurement VerifierInternet ProtocolInternet Protocol SecurityInternet Protocol version 4International Organization for StandardizationInformation TechnologyLLDAPLightweight Directory Access ProtocolMMABMACMac-Authentication BypassMedia access control7NNAANACNADNAPNARNPSNetwork Access AuthorityNetwork Access ControlNetwork Access DeviceNetwork Access ProtectionNetwork Access RequestNetwork Policy ServerOOOBOSOSIOut-of-bandOpen SystemsOpen Systems InterconnectionPPDAPDPPEAPPEPPersonal Digital AssistantPolicy Decision PointProtected Authentication ProtocolPolicy Enforcement PointRRFPRequest For ProposalSSHASNMPSSLSSL VPNSystem Health AgentsSimple Network Management ProtocolSecure Sockets LayerSecure Sockets Layer Virtual Private NetworkTTCGTLSTNCTNCCTNCSTrusted Computing GroupTransport Layer SecurityTrusted Network ConnectTrusted Network Connect ClientTrusted Network Connect ServerUUDPUser Datagram ProtocolVVLANVMPSVPNVirtual Local Area NetworkVLAN Management Policy ServerVirtual Private Network8VQPQuery ProtocolWWGWSUSWork GroupWindows Server Update Services9PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNGBảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết cácdoanh nghiệp, công ty. Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môitrường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâmcủa người quản lý. Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảovấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưavào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng.Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm saokiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máytính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng đượcphép hay không được kết nối vào những khu vực bị hạn chế. Ngoài ra còn cho phép nhà quản trịdễ dàng điều khiển, di chuyển máy tính của người sử dụng các quyền đăng nhập, kết nối vào hệthống một cách nhanh chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm giánđoạn công việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản.Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập để sử dụngcác dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng. Việc kiểm soát này phổ biến ở cáckhách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập. Khi một máy tính muốn sử dụngInternet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được.Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập ở cấp độ kếtnối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình mạng. Kiểm soát truy cập vàohệ thống mạng rất cần thiết trong môi trường mạng nội bộ của công ty, doanh nghiệp có nhiềulớp mạng nhỏ, có nhiều vùng dữ liệu cần được an toàn, có nhiều kết nối tạm thời của khách, cónhiều sự thay đổi về vị trí làm việc. Quá trình quản lý, điều khiển cần được thực hiện một cáchnhanh chóng, hiệu quả.Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi tiếng nhưCisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừavà nhỏ. Do đó việc tìm hiểu và sử dụng những sản phẩm mã nguồn mở đáp ứng các tính năng củaviệc quản lý truy cập mạng là cần thiết. Sử dụng FreeNAC tích hợp chung với hệ thống1Antivirus, WSUS hình thành nên một hệ quản trị chặt chẽ hơn với việc kiểm tra độ an toàn củamáy tính (có phần mềm diệt Virus, cập nhập các bản vá mới nhất, cập nhập các bản vá lỗi của hệđiều hành Windows, …) rồi mới cho phép tham gia vào hệ thống mạng.Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được phép kếtnối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống với tài khoản do ngườiquản lý cung cấp. Dựa vào những thông tin đăng nhập người quản lý sẽ có được những thống kêngười dùng một cách rõ ràng hơn.FreeNAC được đánh giá là một sản phẩm hiệu quả trong việc kiểm soát truy cập mạng.Hoạt động của FreeNAC dựa trên nền VMPS của cisco và 802.1x của hầu hết các thiết bị mạnghỗ trợ chia VLANĐề tài được chia làm 2 phần, gồm 8 chươngPHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROLChương 1: Tổng quan về NACChương 2: Một số loại giải pháp NACChương 3: Chu trình hoạt động của NACChương 4: Viết chính sách bảo mật cho tổ chứcChương 5: Mười bước hoạch định việc triển khai NACChương 6: Tìm hiểu một số kiến trúc NACPHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROLChương 7: Tổng quan về FreeNACChương 8: Mô hình và thực nghiệmTrong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài. Em rất mongnhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn.Sinh viên thực hiệnNguyễn Xuân Thắng2PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)CHƯƠNG 1: TỔNG QUAN VỀ NAC1.1.Khái niệm NAC và nhiệm vụ của NACNAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng). Việc địnhnghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thànhphần khác nhau. Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họhoặc lý do tại sao họ muốn triển khai NAC. Và khái niệm kiểm soát truy cập mạng có thể baogồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạngkhác nhau hay các phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NACtrong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó.1.1.1. Tính toàn vẹn của thiết bị đầu cuốiMột trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểmtra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứngđược các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập.1.1.2. Chính sáchCác chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC. Một tổ chức cóthể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùychỉnh và xác định các chính sách mà họ muốn sử dụng. Những chính sách này thường tập trungvào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạnnhư phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phầnmềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụngkhác liên quan đến an ninh. Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối cóthể bị tấn công hoặc hack như thế nào.1.1.3. Kiểm tra đánh giáMức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau.3Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạpmột sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không.NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa.Một số giải pháp NAC khác lại kiểm tra chi tiết hơn. Kiểm tra các sản phẩm và tên phiênbản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật,cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực. Một số giảipháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác.1.1.4. Mở rộng đánh giá kiểm traMột số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầucuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụthể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tratương tự khác. Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm trathiết bị đầu cuối mà họ muốn. Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tradựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở. Một số khác cho phép tổ chức có thể tựđánh giá, kiểm tra và viết ra các chính sách cho riêng mình.1.1.5. Kiểm tra trước hay sau khi cho phépThời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC,khác biệt với các giải pháp khác. Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiếtbị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng. Loạikiểm tra này thường được gọi là Pre-admission (kiểm tra trước). Tuy nhiên, một số giải phápNAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhậpmạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng post-admission,một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tratính toàn vẹn của thiết bị đầu cuối.1.2.Lý do cần triển khai Network Access Control (NAC)NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại saoviệc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinhdoanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát4hoặc giới hạn truy cập mạng. Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng,và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần.Ta cần triển khai NAC vì nhiều lý do:Một số lý do mang tính tích cực-Tăng trưởng trong kinh doanh-Năng suất-Công nghệMột số lý do mang tính tiêu cực-Hackers-Sự mất cắp thông tin-Nhận dạng kẻ trộmTa có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép có thể truycập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bịgiới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như làviệc cập nhật hệ điều hành Window hay các bản phần mềm chống virus. Ngoài ra NAC có thểthực hiện việc giám sát hoạt động của các thiết bị đầu cuối.5CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC2.1.Các loại giải pháp NACỞ phần này ta sẽ giới thiệu một số loại giải pháp NACDựa trên thiết bị (Appliance-based)Switch- or network equipment-basedClient/host-basedClientless2.1.1. Dựa trên thiết bị (Appliance-based)Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máychủ, thiết bị phần cứng sẽ triển khai giải pháp NAC. Các giải pháp dựa trên thiết bị được chiathành hai loại là Inline và Out-of-band (OOB) InlineNếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng nhưthực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2.1. Vị trínày cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng6Hình 2.1: Mô hình InlineTuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm“nghẽn cổ chai”. Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được. Cũng bởi vìdo tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụngmạng. Out-of-bandTrong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng .Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band,không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện tronghình 2.2.Hình 2.2: Mô hình Out-of-bandMô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline.Các ưu điểm của mô hình Out-of-band so với Inline:7Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thànhphần bảo mật như là một phần của quá trình NAC.Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn sovới các giải pháp NAC Inline.Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúngkhông ở trong lưu lượng mạng, không giống như các giải pháp Inline.Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặccơ sở hạ tầng bảo mật.2.1.2. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó.Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, mộtsố thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP(Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩnkhác.Một số chú ý khi triển các giải pháp này:Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như mộtthiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách.Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứngđược khả năng hoạt động cơ bản của nó. Nó không phải chỉ để phục vụ cho NAC.2.1.3. Dựa trên máy chủ/máy khách (Client or host-based)Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máykhách (Client/host-based). Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng,cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác. Trong nhiều trường hợp, giải pháp này yêu cầumột máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập.Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quảntrị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp khó khăn nếu thiết bị đầucuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này.8Giải pháp này có thể mô tả như hình 2.3 dưới đâyHình 2.3: Client/host-based2.1.4. Giải pháp ClientlessGiải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng.Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal”. Ở đó khi ngườisử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web cụ thể để download mộtapplet (ứng dụng nhỏ) viết bằng Java hoặc Active X. Ứng dụng này có thể nắm bắt thông tin đểxác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối.Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi lưu lượngmạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay không được quản lý,hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ thiết bị nào kết nối vào mạng đều cómột địa chỉ IP. Bằng cách sử dụng các chính sách được xác định trước, hệ thống clientless sửdụng một thiết bị mạng để quyết định xem làm thế nào để xử lý thiết bị không thể quản lý được.9Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc nhìn khác đó làtriển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open Systems Interconnection).2.1.5. NAC Layer 2Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông tin liên lạc vàchuyển giao thông tin giữa các thành phần mạng. IEEE 802.1X (Port-based network accesscontrol) là giao thức quan trọng điều khiển truy cập cũng hoạt động ở Layer 2. Nhiều thiết bịchuyển mạch Ethernet và các điểm truy cập không dây triển khai trong các mạng trên toàn thếgiới ngày nay hỗ trợ giao thức 802.1XNhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công nghệ và tiêuchuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point, và các thiết bị tương tự.Layer 2 giao tiếp với các thành phần của NAC trong quá trình xác thực và quá trình thực thichính sách. Hình vẽ dưới đây mô tả giải pháp NAC Layer 2Hình 2.4: NAC Layer 2102.1.6. NAC Layer 3Lớp mạng (Layer 3: Network Layer) chịu trách nhiệm trong việc vận chuyển dữ liệu từnguồn tới đích trong một hay nhiều mạng. Việc định tuyến trên mạng cũng thực hiện ở lớp 3. Mộtsố giải pháp NAC được thực hiện ở lớp 3. Trong giải pháp này, “firewall” hoặc “secure router” cóthể được xem là nơi thực hiện NAC dựa trên địa chỉ IP. Hình vẽ dưới đây mô tả giải pháp NACLayer 3:Hình 2.5: NAC Layer 32.2.Cách chọn giải pháp NAC phù hợp Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải pháp, nhàcung cấp, sản phẩm cho phù hớp với mục đíchSau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển khai: Tổ chứccó thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu cuối hiện có,…với nỗ lực tốiđa hóa hiệu quả, duy trì chi phí, và bảo vệ các khoản đầu tư mạng hiện có. Nếu chi phí là11một vấn đề quan trọng hơn, và khả năng mở rộng và hiệu suất không phải là quan trọng,tổ chức có thể xem xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giảipháp NAC Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trongthiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/hostbased.Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâmtrọng yếu của tổ chức hay không. Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chứcthì nên chọn giải pháp Out-of-band thực hiện ở Layer 2 và Layer 3.Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp Clientless NAC.Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những người nguyhiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông tin quý giá hay không. Đểgiải quyết vấn đề này, có thể xem xét các giải pháp NAC có hỗ trợ xác thực hai hay nhiềutrường.Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thìcần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng. Điều này giúp choviệc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tàinguyên đúng với quyền hạn của mình. Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sauđây:Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị.Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị.Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tậphợp phong phú được xác định trước về tính toàn vẹn của các thiết bị đầu cuối. Nó cũngphải có khả năng tự động thay đổi tình trạng mạng, nếu có sự thay đổi thông tin trạng tháibảo mật thiết bị đầu cuối, thông tin mạng, hoặc thông tin người sử dụng. Và bất kỳ giảipháp NAC nào được chọn cũng cần phải giải quyết có hiệu quả khắc phục hậu quả củangười sử dụng vi phạm, và thiết bị của họ, trước khi cấp quyền truy cập mạng.12Khả năng giám soát hoạt động của người dùng.Khả năng tương thích với cơ sở hạ tầng mạng hiện có và khả năng mở rộng.Tính linh hoạt và khả năng đơn giản trong việc quản trị.13CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NACBất kỳ giải pháp NAC nào cũng gồm năm bước để xác định mức độ truy cập cung cấpcho một người dùng hoặc máy:1. Xác định2. Đánh giá3. Khắc phục4. Thực thi5. Giám sátPhải kết hợp các cập nhật với chính sách trong từng bước, đảm bảo rằng khi nhu cầu kiểmsoát truy cập và bảo mật của tổ chức thay đổi, thì các chính sách và hành động triển khai NACcũng thay đổi theo. Những thay đổi cần thiết sẽ giúp tinh chỉnh vòng đời NAC khi doanh nghiệpcần thay đổi.Thực hiện NAC sẽ có rất ít hy vọng thành công, trừ khi tổ chức có kế hoạch và mục tiêuthích hợp. Vì vậy, khi áp dụng NAC trong tổ chức, cần phải hiểu được ý nghĩa của chính sáchbảo mật của tổ chức và tác động của nó trên NAC (thể hiện trong các khu vực bóng mờ của hình3.1). NAC là thành phần chủ chốt của chính sách bảo mật của doanh nghiệp vì nó chỉ ra cách đểxử lý kiểm soát truy cập trên vào mạng doanh nghiệp.Hình 3.1: Các bước cơ bản để triển khai NAC143.1.Bước xác định (Assess)Bước này bao gồm 2 phần chính:Nhận dạng máy và người sử dụngTình trạng bảo mật của máyHình 3.2: Bước xác định3.1.1. Nhận dạng máy và người sử dụngBiết được những ai đang truy cập vào mạng là một lợi thế quan trọng của việc triển khaiNAC. Trong môi trường ngày nay, nhiều người sử dụng điện thoại di động, các bên thứ ba cóthẩm quyền, và dùng các thiết bị phi tiêu chuẩn làm cho việc xác định chính xác ai đang truy cậptài nguyên doanh nghiệp khó khăn hơn. NAC cho phép:Xác định ai đang truy cập và sử dụng thiết bị nàoLiên kết thông tin đó với chính sách cụ thể về việc truy cập của người dùngKhi một người sử dụng đầu tiên truy cập vào mạng công ty, hệ thống NAC xác thực ngườidùng đó. Một hệ thống NAC có thể nhắc người sử dụng xác thực bằng nhiều cách:Nếu người dùng là một nhân viên sử dụng tài sản thuộc sở hữu công ty, tài sản đó đã càiđặt phần mềm NAC vào biểu tượng tiêu chuẩn của công ty.15Nếu người dùng là khách hoặc đối tác, vào mạng trong một thời gian ngắn mà không cầncho một phần mềm cài đặt vĩnh viễn, trình duyệt web của máy tính có thể hoạt động nhưmáy khách, chuyển hướng người dùng đến một cổng thông tin (captive portal) để xácthực.Khi người dùng đã truy cập vào mạng, NAC xác định người sử dụng đó là ai và cung cấpthông tin cho bước tiếp theo - đánh giá.3.1.2. Tình trạng bảo mật của máyTrong phần này, NAC sẽ lưu ý về tình hình bảo mật của các máy đang cố gắng truy cậpvào mạng để đảm bảo rằng không vô tình cho phép máy không an toàn vào mạng. Việc cho phépbất cứ thứ gì truy cập vào mạng là rất rủi ro do nguy cơ từ những phần mềm độc hại, phần mềmgián điệp, virus, khai thác từ xa (remote exploits), …, NAC cần đánh giá các rủi ro liên quan đếnviệc cho phép các thiết bị không được quản lý vào mạng và từ đó đưa ra hành động thích hợp.Giai đoạn xác định cũng liên quan đến việc xác định các yếu tố môi trường khác như vị tríhoặc thời gian truy cập.Vị trí có thể là yếu tố đóng một vai trò quan trọng khi đưa ra quyết định về việc cho phépmột người dùng truy cập vào mạng. Ví dụ, chúng ta có thể cho khách truy cập chỉ trongmột số khu vực như phòng hội nghị và các khu vực công cộng. Nếu một máy khách bấtngờ xuất hiện trong một khu vực bị giới hạn, NAC cung cấp khả năng từ chối truy cập.Có thể hạn chế thời gian sử dụng trong ngày hoặc các ngày trong tuần cho người dùngnhất định. Ví dụ, chúng ta có thể đảm bảo rằng nhân viên hoặc người sử dụng khác truycập vào dữ liệu của công ty chỉ trong giờ làm việc. Khi nhân viên đó cố gắng truy cập dữliệu nhạy cảm của công ty từ nhà và vào cuối tuần, chúng ta có thể dùng chính sách tựđộng từ chối truy cập.3.2.Bước đánh giá (evaluate)Trong giai đoạn xác định (được thảo luận trong phần trước), NAC giúp chúng ta thu thậprất nhiều thông tin về người sử dụng, hoặc máy của họ, và các yếu tố môi trường kết hợp với cácyêu cầu truy cập. Bước tiếp theo trong chu kì hoạt động của NAC là đánh giá (evaluate). Trong16giai đoạn này, hệ thống NAC sắp xếp tất cả các mảnh thông tin thu thập được trong giai đoạn xácđịnh.Hầu hết các triển khai NAC đều thiết lập các chính sách khác nhau cho từng nhóm ngườidùng khác nhau. Trong giai đoạn này, hệ thống NAC kiểm tra hàng chục, hàng trăm thậm chíhàng ngàn phiên yêu cầu và phải xác định chính xác chính sách nào được áp dụng cho từng yêucầu đó.Ví dụ, hệ thống NAC thực hiện xác thực người dùng, nhưng đồng thời, nó cũng lấy từ thưmục của tổ chức bất kỳ thông tin bổ sung cần thiết liên quan đến người sử dụng đó. Thư mục củatổ chức có thể bao gồm thông tin thành viên nhóm, trong đó cho biết người sử dụng là một thànhviên trong nhóm nào của tổ chức, từ đó NAC tự động phân biệt các nhân viên đó là từ các nhàthầu hay các thành viên của bộ phận Tài chính hoặc bộ phận Kỹ thuật.NAC sử dụng các thông tin này để xác định chính sách nào được áp dụng đối với từngyêu cầu đã được chứng thực cụ thể, sau đó đánh giá để cung cấp các mức độ truy cập thích hợp.Ví dụ, một nhân viên dùng một máy tính xách tay được quản lý thì máy tính đó sẽ được tựđộng sửa lỗi nếu nó không có một chương trình chống virus đã được cập nhật, trong khi đó, mộtnhà thầu sử dụng máy tính của riêng của mình có thể phải ngừng việc kiểm định, vì bộ phậnCNTT của tổ chức không thể sửa lỗi máy đó.Hình 3.3: Bước đánh giá17

Tài liệu liên quan

Tìm hiểu về kế toán tài sản cố định (Phần 1).pdf
- 7
- 714
- 7
Tìm hiểu về kế toán tài sản cố định (Phần 2).pdf
- 17
- 547
- 1
Tìm hiểu về kế toán tài sản cố định (Phần 3).pdf
- 6
- 505
- 1
Nghiên cứu và tìm hiểu về tổng quan và thực trạng tổ chức hạch toán kế toán tại Công ty CPXNK Viglacera.docx
- 63
- 558
- 0
Nghiên cứu, tìm hiểu về công tác lao động tiền lương tại công ty cổ phần Toàn Phát.docx
- 22
- 831
- 0
Tìm hiểu về công tác hạch toán kế toán tiền lương và các khoản trích theo lương ở Công ty chế biến nông sản thực phẩm xuất nhập khẩu - Nghệ An.docx
- 56
- 674
- 1
Tìm hiểu về công tác hạch toán kế toán tiền lương và các khoản trích theo lương ở Công ty Công trình giao thông 134.DOC
- 63
- 416
- 1
Tìm hiểu về lý luận và hệ thống pháp lý liên quan tới tổ chức bộ máy kiểm toán nội bộ trong các doanh nghiệp Nhà nước tại Việt Nam.DOC
- 35
- 1
- 0
Tìm hiểu về tính đầy đủ và tính tin cậy của Bằng chứng kiểm toán trong kiểm toán tài chính
- 68
- 734
- 0
Tìm hiểu về hoạt động bao thanh toán
- 20
- 1
- 5